Um dos principais aplicativos destinados a videoconferências disponíveis atualmente, o Zoom conta com uma falha de segurança grave no macOS, a qual pode dar a invasores acesso total a arquivos do sistema.

A falha foi identificada pelo especialista em segurança Patrick Wardle, o qual explanou a existência de alguns bugs envolvendo o instalador do aplicativo no sistema operacional da Maçã. Mesmo sabendo da vulnerabilidade, o app a ignorou por meses, não fornecendo uma rápida correção e nem alertando usuários sobre ela.

O bug aproveita as permissões especiais dadas pelo macOS para instalar ou desinstalar o Zoom, mais especificamente uma função de atualização automática que é executada continuamente em segundo plano com privilégios altamente elevados.

Uma falha no método de verificação de criptografia, no entanto, permite que um invasor consiga “enganar” o sistema de atualização do Zoom ao usar um arquivo com o mesmo nome do certificado de assinatura do software oficial. Assim, o instalador do programa entende que o arquivo malicioso é assinado pelo próprio Zoom e permite a sua instalação na máquina, o dando a possibilidade de explorar o macOS até atingir poderes de “superusuário” — ou seja, de acessar a raiz do sistema operacional e adicionar, remover ou modificar qualquer arquivo.

Segundo Wardle revelou em entrevista ao The Verge, o Zoom deixou a falha existir por meses, mesmo com ele tendo dado ao aplicativo a “fórmula” para corrigi-la. Uma correção inicial liberada pela plataforma, inclusive, ainda tinha outro bug que repetia a falha, mas de forma mais indireta.

Agora, tendo relatado a falha na conferência de hackers Def Con, ele revelou que a rede social emitiu recentemente outro patch corrigindo os bugs iniciais, mas a versão atual do instalador do Zoom ainda conta com erros os quais podem permitir que um invasor aproveite as falhas.

Wardle menciona que o erro atual é muito fácil de ser corrigido, e espera que sua manifestação pública sobre a vulnerabilidade leve o Zoom a fazê-lo o quanto antes. Matt Nagel, chefe de segurança e privacidade do Zoom, declarou: “Estamos cientes da vulnerabilidade recém-relatada no atualizador automático do Zoom para macOS e estamos trabalhando diligentemente para resolvê-la.”

Enquanto isso, caso você seja usuário do Zoom, pode se proteger eliminando o instalador do app da sua máquina ou utilizando o serviço diretamente pelo navegador.